As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia em repouso no Amazon SQS
A criptografia no lado do servidor (SSE) permite que você transmita dados sigilosos em filas criptografadas. O SSE protege o conteúdo das mensagens em filas usando chaves de criptografia gerenciadas pelo SQS (SSE-SQS) ou chaves gerenciadas no (SSE-KMS). AWS Key Management Service Para obter informações sobre como gerenciar o SSE usando o Console de gerenciamento da AWS, consulte o seguinte:
+ [Configurar o SSE-SQS para uma fila (console)](sqs-configure-sqs-sse-queue.md)
+ [Configurar o SSE-KMS para uma fila (console)](sqs-configure-sse-existing-queue.md)
Para obter informações sobre como gerenciar o SSE usando as AWS SDK para Java (e `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` as ações `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, e), consulte os exemplos a seguir:
+ [Usar criptografia do lado do servidor com filas do Amazon SQS](sqs-java-configure-sse.md)
+ [Configurando permissões do KMS para Serviços da AWS](sqs-key-management.md#compatibility-with-aws-services)
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0)
A SSE criptografa mensagens assim que o Amazon SQS as recebe. As mensagens são armazenadas no formato criptografado e o Amazon SQS as descriptografa apenas quando elas são enviadas a um consumidor autorizado.
**Importante**
Todas as solicitações para filas com SSE habilitada devem usar HTTPS e o [Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
Uma [fila criptografada](#sqs-server-side-encryption) que usa a chave padrão (chave KMS AWS gerenciada para Amazon SQS) não pode invocar uma função Lambda em outra. Conta da AWS
Alguns recursos dos AWS serviços que podem enviar notificações para o Amazon SQS usando a AWS Security Token Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` ação são compatíveis com o SSE, mas funcionam *somente com filas padrão*:
[Ganchos do ciclo de vida do Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Dead Letter Queues](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Para obter informações sobre a compatibilidade de outros produtos com filas criptografadas, consulte [Configurar permissões do KMS para serviços AWS](sqs-key-management.md#compatibility-with-aws-services) e a documentação do seu produto.
AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Quando você usa o Amazon SQS com AWS KMS, as [chaves de dados](#sqs-sse-key-terms) que criptografam os dados da sua mensagem também são criptografadas e armazenadas com os dados que elas protegem.
Os benefícios de usar o AWS KMS são os seguintes:
+ É possível criar e gerenciar [AWS KMS keys](#sqs-sse-key-terms) por conta própria:
+ Você também pode usar a chave KMS AWS gerenciada para o Amazon SQS, que é exclusiva para cada conta e região.
+ Os padrões AWS KMS de segurança podem ajudá-lo a atender aos requisitos de conformidade relacionados à criptografia.
Para obter mais informações, consulte [O que é o AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## Escopo de criptografia
A SSE criptografa o corpo de uma mensagem em uma fila do Amazon SQS.
A SSE não criptografa o seguinte:
+ Metadados de fila (nome e atributos da fila)
+ Metadados de mensagens (ID de mensagem, carimbo de data/hora e atributos)
+ Métricas por fila
A criptografia de uma mensagem torna indisponível seu conteúdo para usuários não autorizados ou anônimos. Com a SSE habilitada, as solicitações anônimas `SendMessage` e `ReceiveMessage` à fila criptografada serão rejeitadas. As práticas recomendadas de segurança do Amazon SQS não aconselham o uso de solicitações anônimas. Se você quiser enviar solicitações anônimas a uma fila do Amazon SQS, desabilite o SSE. Isso não afeta o funcionamento normal do Amazon SQS:
+ Uma mensagem só será criptografada se for enviada após a habilitação da criptografia de uma fila. O Amazon SQS não criptografa mensagens com lista de pendências.
+ Qualquer mensagem criptografada permanecerá dessa forma mesmo se a criptografia de sua fila for desabilitada.
A transferência de uma mensagem para uma [dead letter queue](sqs-dead-letter-queues.md) não afeta sua criptografia:
+ Quando o Amazon SQS move uma mensagem de uma fila de origem criptografada para uma fila de mensagens não entregues não criptografada, a mensagem permanece criptografada.
+ Quando o Amazon SQS move uma mensagem de uma fila de origem não criptografada para uma fila de mensagens não entregues criptografada, a mensagem permanece descriptografada.
## Principais termos
Os seguintes termos-chave podem ajudar você a entender melhor a funcionalidade da SSE. Para obter descrições detalhadas, consulte a *[Referência da API do Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.
**Chave de dados**
A chave (DEK) responsável por criptografar o conteúdo de mensagens do Amazon SQS.
Para obter mais informações, consulte [Chaves de dados](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) no *Guia do desenvolvedor do AWS Key Management Service * no *Guia do desenvolvedor do AWS Encryption SDK *.
**Período de reutilização de chaves de dados**
O período de tempo, em segundos, durante o qual o Amazon SQS pode reutilizar uma chave de dados para criptografar ou descriptografar mensagens antes de ligar novamente. AWS KMS Um número inteiro que representa segundos, entre 60 segundos (1 minuto) e 86.400 segundos (24 horas). O padrão é 300 (5 minutos). Para obter mais informações, consulte [Entender o período de reutilização de chaves de dados](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
No caso improvável de não conseguir acessar AWS KMS, o Amazon SQS continua usando a chave de dados em cache até que a conexão seja restabelecida.
**ID da chave do KMS**
O alias, o ARN do alias, o ID da chave ou o ARN da chave de uma chave KMS AWS gerenciada ou de uma chave KMS personalizada — na sua conta ou em outra conta. Embora o alias da chave KMS AWS gerenciada para o Amazon SQS seja `alias/aws/sqs` sempre, o alias de uma chave KMS personalizada pode, por exemplo, ser. `alias/MyAlias` Você pode usar essas chaves do KMS para proteger as mensagens em filas do Amazon SQS.
Lembre-se do seguinte:
+ Se você não especificar uma chave KMS personalizada, o Amazon SQS usa a chave KMS gerenciada para AWS o Amazon SQS.
+ A primeira vez que você usa o Console de gerenciamento da AWS para especificar a chave KMS AWS gerenciada para o Amazon SQS para uma fila AWS KMS , cria a chave KMS gerenciada para AWS o Amazon SQS.
+ Como alternativa, na primeira vez em que você usa a `SendMessageBatch` ação `SendMessage` or em uma fila com o SSE ativado, AWS KMS cria a chave KMS AWS gerenciada para o Amazon SQS.
Você pode criar chaves KMS, definir as políticas que controlam como as chaves KMS podem ser usadas e auditar o uso da chave KMS usando a seção **Chaves gerenciadas pelo cliente** do AWS KMS console ou da ação. `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS Para obter mais informações, consulte [Chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) e [Como criar chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor da AWS Key Management Service *. Para obter mais exemplos de identificadores de chave KMS, consulte a [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)Referência da *AWS Key Management Service API*. Para obter informações sobre como encontrar identificadores de chave do KMS, consulte [Encontrar o ID da chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) no *Guia do desenvolvedor do AWS Key Management Service *.
Há taxas adicionais pelo uso AWS KMS. Para saber mais, consulte [Estimando custos AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) e [Definição de preço do AWS Key Management Service](https://aws.amazon.com/kms/pricing).
**Criptografia de envelope**
A segurança dos dados criptografados depende em parte da proteção da chave de dados que pode descriptografá-los. O Amazon SQS usa a chave do KMS para criptografar a chave de dados. Em seguida, a chave de dados criptografada é armazenada com a mensagem criptografada. Essa prática de uso de uma chave do KMS para criptografar chaves de dados é conhecida como criptografia de envelope.
Para obter mais informações, consulte [Criptografia de envelope](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) no *Guia do desenvolvedor do AWS Encryption SDK *.